本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 集中式网络防火墙
<a name="firewall"></a>

在防火墙 VPC 中部署 AWS Network Firewall。此 VPC 发挥着至关重要的作用，它托管防火墙，用于检查从源到目标的流量以及来自互联网的流量。

## 防火墙规则组
<a name="firewall-rule-group"></a>

定义自定义规则或使用现有 AWS 托管式规则来监控和管理从防火墙 VPC 流向互联网以及从互联网流向 VPC 的流量。根据您的要求，创建有状态或无状态规则：
+ **有状态规则**：检查数据包时会考虑流量流动方向和与数据包相关的其他流量批准。

  此规则组符合 Suricata 兼容的入侵防御系统（IPS）要求。有关更多信息，请参阅 [Network Firewall 文档](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html)。

  Network Firewall 还支持域流量筛选。系统将使用基于标准网络属性定义的规则来监控流向所列特定域的流量，以控制流量。
+ **无状态规则**：Network Firewall 的无状态规则引擎单独分析每个数据包的无状态规则组。网络防火墙不考虑流量方向或其他相关数据包等上下文。
+ **AWS 托管式规则的规则组**：使用 Network Firewall 时，您可以访问 AWS 托管式规则的规则组。这些预设的可用规则集合可保持最新安全性。AWS 会根据发现的任何新漏洞或威胁更新规则组。

## 防火墙策略
<a name="firewall-policy"></a>

创建防火墙策略，该策略根据您附加到防火墙策略的规则定义防火墙的监控和保护行为。这些规则可以是 AWS 提供的托管规则，也可以是您创建的自定义有状态或无状态规则。

## 防火墙
<a name="firewall"></a>

在防火墙 VPC 中，使用您定义的防火墙策略创建防火墙。选择专用于防火墙的三个子网（并非中转网关子网）。创建防火墙后，记下通过 Network Firewall 创建的 VPC 端点。

配置 `0.0.0.0/0` 的防火墙 VPC 中转网关子网目标，将流量路由到这些端点。配置端点时，请确保每个中转网关子网均匹配其相应的防火墙端点子网。适当的子网映射有助于确保流量路由和检查的高可用性。

## 防火墙日志记录
<a name="firewall-logging"></a>

要帮助分析网络防火墙阻止的流量，请启用防火墙日志记录。除了识别未经授权的活动外，防火墙日志记录还可以帮助您分析 VPC 内部和外部发生的其他活动。